Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 7 февраля 2021 г.

Tortoise

Tortoise Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Tortoise Ransomware. На файле написано: Ransomware Tortoise.exe, tort2.exe. Язык программирования: Python.
---
Обнаружения:
DrWeb -> Python.Encoder.22
BitDefender -> Trojan.Agent.FDCC
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.gxzly
ESET-NOD32 -> Python/Filecoder.GC
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.4095169426
Microsoft -> Program:Win32/Wacapew.C!ml
Qihoo-360 -> Trojan.Generic
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Swun
TrendMicro -> TROJ_FRS.VSNTB921
---

© Генеалогия: предыдущие Python ransomware >> Tortoise

Tortoise Ransomware logo
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .TORTOISE

В рассматриваемом примеры файлы не были зашифрованы. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки:
 
Tortoise Ransomware lock screen

Содержание записки о выкупе:
Oops look like you hit tortoise ransomware
Your files has been encrypted with (AES)-256 algorithm (MILITARY GRADE)
all files like, photos, excels, documents, databases, and almost everything..
Don't worry you can get your files back
There is no other way to recover your files
If you think this is a scam then check your files
Encrypted files are name as .TORTOISE
Don't try to rename or delete the encrypted files
Don't try to Scan with Antivirus programmes this will corrupt the decrypter tool.
if your using office or company PC/Laptop your at great risk
take the screenshot of this window and send to tortoisesupport@protonmail.com
you will get instructions to decrypt at there
if you accidently close this windows go to where you get this file
else you may not get your files back
As allways don't try to put in quarantine this may corrupt your files....
14687
Enter the key got from support team

Перевод записки на русский язык:
Ой, похоже, вас ударила tortoise ransomware
Ваши файлы зашифрованы с алгоритмом (AES)-256 (ВОЕННЫЙ УРОВЕНЬ)
все файлы, например, фото, Excel, документы, базы данных и почти все ...
Не волнуйтесь, вы можете вернуть свои файлы
Другого способа восстановить ваши файлы нет
Если вы думаете, что это афера, проверьте свои файлы
Зашифрованные файлы называются .TORTOISE
Не пытайтесь переименовать или удалить зашифрованные файлы
Не пытайтесь сканировать антивирусными программами, это повредит инструмент дешифрования.
если вы используете офисный или корпоративный ПК / ноутбук, вы подвергаетесь большому риску
сделайте снимок экрана этого окна и отправьте на tortoisesupport@protonmail.com
там вы получите инструкции по расшифровке
если вы случайно закроете это окно, перейдите туда, где вы получили этот файл
иначе вы не сможете вернуть свои файлы
Также не пытайтесь поместить в карантин, это повредит ваши файлы....
14687
Введите ключ, полученный от службы поддержки



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Ransomware Tortoise.exe (tort2.exe) - название вредоносного файла
crash.txt - файл с ключом


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\crash.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tortoisesupport@protonmail.com
bsbasim2017@gmail.com
programmingmyst@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 13 февраля 2021:
Сообщение >>
Файлы можно расшифровать, если не выключать и не перезагружать компьютер. 


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Danus, JAMESWT
 Andrew Ivanov (article author)
 c3rb3ru5d3d53c
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 5 февраля 2021 г.

CashCat

CashCat Ransomware Simulator

CryptoLocker Ransomware Simulator

(шифровальщик-симулятор) (первоисточник)
Translation into English



Этот крипто-симулятор шифрует файлы только в папке с текстовыми файлами, куда он должен быть предварительно помещен. Чтобы разблокировать и расшифровать файлы нужно ввести код 123456789. Оригинальное название: в записке не указано. На файле написано: CashCat.exe. Разработчик: Lee Berg. 
---
Обнаружения:
DrWeb -> Joke.Encoder.1006
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Hoax.FakeFilecoder.FV
Kaspersky -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cashcat.SA!MTB
Rising -> Trojan.Generic/MSIL@AI.96 (RDM.MSIL:vr*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ransom.Agup
TrendMicro -> Ransom_Cashcat.R002C0DC521
---

© Генеалогия: ✂ WannaCry >> CashCat Ransomware Simulator


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Первичная информация была опубликована в конце февраля 2021 г. Разработчик представил свой крипто-симулятор в хранилище на сайте GitHub. Предназначение: имитировать поведение программы-вымогателя для демонстрации и тестирования различных инструментов мониторинга файлов и систем реагирования.

К зашифрованным файлам добавляются расширения из заготовленного списка известных расширений из других Ransomware:
.AngryDuck
.BitCryptor
.BOMBO
.CommonRansom
.CoronaLock
.Crypt0L0cker
.D00mEd
.Dablio
.DIABLO6
.FrozrLock
.GoldenEye
.Horriblemorning
.Lazarus
.locky
.nuclear
.PayDay
.pedro
.petra
.PrOtOnIs
.satan
.SHARK
.TROLL
.weapologize
.write_us_on_email
.zeppelin

Записка с требованием выкупа написана на экране блокировки. 
Текст является условным вымогательством. Это только имитирует вымогательство, на самом деле тут же предлагается ввести код разблокировки и расшифровать демонстрационные текстовые файлы.  

По замыслу разработчика, симулятор использует разные расширения, собранные из проектов вымогателей. В зависимости от этого в заголовке программы будет меняться название. В примерах ниже видно два таких названия: CryptoLocker Simulator и CashCat Ransomware Simulator. Еще могут быть названия WannaCry Simulator и BTCWare Simulator. 





Содержание записки о выкупе:

Ooops, your files have been encrypted!
Your important files are now encrypted!
To decrypt files you need to obtain the private key. The Single copy of the private key which allow you to decrypt the files is on a secret server on the internet dark web. The server will destroy the key after a time specified in this window.
To obtain the private key for this computer, you need dot pay 300 USD / 300 EUR similar amount in other ***
---
Your files are being locked using a unique public RSA-4096 generated for this computer. Once the encryption operations are completed you will be unable to access your files without obtaining a special key from our internet dark web cyber server.
---
Denied, incorrect passkey! (HINT: try: 123456789)
---
Unlocked! Thanks! Your files will now be decrypted
---
Decrypted... have a nice day!
---
Congratulations! Your files are being unlocked using the unique public RSA-4096 generated for this computer
---
Welcome to your CashCat Key Backup Log File!


Скриншоты процесса расшифровки файлов

Проводится демонстрация шифрования txt-файлов.  
Предлагается ввести корректный код разблокировки.  
Подсказывается, что нужно ввести код: 123456789
Сообщается, что введенный код правильный.
Файлы расшифровываются. 
Белый замок на фоне программы открывается. 








Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
CashCat.pdb - файл проекта симулятора; 
CashCat.exe - название файла симулятора; 
CashCat.log - файл журнала. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\lee\git\CashCatRansomwareSimulator\CashCat\obj\Debug\CashCat.pdb
C:\Users\User\AppData\Local\Temp\CashCat.exe
C:\Users\User\AppData\Local\Temp\CashCat.log


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
BTC: 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: e22f15441e597430b069dad9f72889fc
SHA-1: 6310f4db3726fdb52514718a402ede2db38c71bd
SHA-256: fa6855733a1cca500f3088b535808fc8093d67cadc9b34ad4ca7ec0170b25e03
Vhash: 255036651512208d18d502a
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744



Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Lee Berg
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 1 февраля 2021 г.

RunSomeAware

RunSomeAware Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем даже не требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RunSomeAware. На файле написано: RunSomeAware.exe и RSW.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33829
BitDefender -> Trojan.GenericKD.45986170, Trojan.Agent.FFQG
Avira (no cloud) -> TR/Agent.bukvj, TR/Agent.yegab
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:MSIL/Swagkarna!MTB
Qihoo-360 -> Win32/Ransom.Generic.HgIASOAA, Win32/Ransom.Generic.HgIASQIA
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT
Tencent -> Msil.Trojan.Gen.Eyo, Msil.Trojan.Gen.Hmrh
TrendMicro -> Ransom_Gen.R002C0WB621, Ransom_Swagkarna.R002C0DCV21
---

© Генеалогия: ??? >> RunSomeAware

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.graysuit
.swagkarna

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января - начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа не используется. Нет никаких контактов для связи и уплаты выкупа. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
RunSomeAware.pdb - название файла проекта;
RunSomeAware.exe, RSW.exe - названия вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Lenovo\Downloads\SKLogger-master\test\RunSomeAware\obj\Debug\RunSomeAware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: swagkarna@gmail.com, hackrefisher@gmail.com
URL: github.com/DarkSecDevelopers/RunSomeAware
URL: github.com/swagkarna/RunSomeAware
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 17 августа 2021:
Записка: Urgent Notice.txt
Email: pagar40br@gmail.com
BTC: 1Faiem4tYq7JQki1qeL1djjenSx3gCu1vk
Результаты анализов: VT + TG




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as RunSomeAware)
 Write-up, Topic of Support
 * 
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Michael Gillespie >>
 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HDLocker

HDLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HD или HDLocker. 
---
Обнаружения-1:
DrWeb -> Trojan.Encoder.33685
BitDefender -> Trojan.GenericKD.45655196
ESET-NOD32 -> A Variant Of Win32/Packed.BlackMoon.A Potentially Unwanted
Kaspersky -> Trojan-Ransom.Win32.Gen.zsh
Malwarebytes -> Ransom.HDLocker
Microsoft -> Trojan:Win32/AgentTesla!ml
Qihoo-360 -> Win32/Ransom.Generic.HxIBA2cC
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Tencent -> Win32.Trojan.Gen.Pezc
TrendMicro -> Ransom.Win32.HDLOCKER.A
---
Обнаружения-2:
DrWeb -> Trojan.Encoder.33686
BitDefender -> Trojan.GenericKD.33661171
ESET-NOD32 -> A Variant Of Win32/Packed.VMProtect.GH
Kaspersky -> Trojan.Win32.Zudochka.eip
Microsoft -> Trojan:Win32/PackedVMProtect
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Zudochka.Wptt 
---

© Генеалогия: более ранний вариант > BlackMoon? > HDLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: _HD


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января - начало февраля 2021 г. Ориентирован на китайскоязычных пользователей, но может распространяться и в других странах. Обнаружена также более ранняя версия (март 2020), которая может быть связаны с другими программами-вымогателями, которые распространяются в Китае. 

Запиской с требованием выкупа выступает экран блокировки с текстом на китайском: 

Содержание текста о выкупе:
勤索界面
恭直你被我勒索了, 如有重要文件要解密请支付宝付款50元

Перевод записки на русский язык:
Уважаемый, я шантажирую вас. Если вам нужно расшифровать важные документы, заплатите 50 юаней через Alipay.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
TRAE.exe - исполняемый файл вымогателя; 
3.vmp(已加防通用脱壳).exe - исполняемый файл вымогателя; 
HD_勒索信.log - файла со списком зашифрованных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 27 января 2021 г.

Namaste

Namaste Ransomware

NamasteUnlock Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в €10.00, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: NamasteUnlock и Decryptor.exe.
---
Обнаружения-1:
DrWeb -> Trojan.Encoder.33429
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tfrvn
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/CryptoLocker.DG!MTB
Qihoo-360 -> Win32/Trojan.Generic.HgIASN4A
Rising -> Ransom.Agent!1.D1DD (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> TROJ_GEN.R002H0CAR21
---
Обнаружения-2 (файл apple_pie.exe):
DrWeb -> Trojan.EncoderNET.10
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFK
Malwarebytes -> Malware.AI.3004541863
Microsoft -> Ransom:MSIL/CryptoLocker.DG!MT
Rising -> Ransom.Agent!1.D1DD (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ransom.Lmkz
---

© Генеалогия: ??? >> 
Namaste (NamasteUnlock)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: ._enc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа не используется. Вместо этого используется изображение с адресом сайта, где можно купить ключ разблокировки. 




Технические детали

Постраавшие сообщают, что вредоносное ПО распространялось под видом или с помощью "free Fortnite cheat", загружаемого с сервера Discord. На самом деле этот "cheat" включает в себя RAT, перехватывает управление мышью и удалённо запускает Ransomware. Предварительно отключает Windows Defender, чтобы не быть обнаруженным. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
Hacker-Laptop-Wallpaper.jpg - файл загружаемого изображения; 
Decryptor.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Jacob v2\source\repos\mac_n_cheese\mac_n_cheese\obj\Release\WSecurityService.pdb
C:\Users\Jacob v2\source\repos\NamasteUnlock\NamasteUnlock\obj\Release\Decryptor.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://sellix.io/namaste
URL покупки: hxxxs://sellix.io/product/600dc38dbf44c
URL изображения: hxxxs://cdn.discordapp.com/attachments/789910384710254624/802992960328433684/Hacker-Laptop-Wallpaper.jpg
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *